ESVS签名验签服务器技术白皮书V11Word文档格式.docx
- 文档编号:18773241
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:5
- 大小:105.90KB
ESVS签名验签服务器技术白皮书V11Word文档格式.docx
《ESVS签名验签服务器技术白皮书V11Word文档格式.docx》由会员分享,可在线阅读,更多相关《ESVS签名验签服务器技术白皮书V11Word文档格式.docx(5页珍藏版)》请在冰豆网上搜索。
PKI技术是实现电子签名的主要手段,随着电子签名需求的增多以及PKI技术的深入发展,将分散在各应用系统中实现电子签名的模块独立出来形成公用的电子签名服务平台,逐渐成为各级管理人员、开发人员的共识,签名验签系统就是这样一个针对业务数据进行签名验签的独立的服务平台。
使用签名验签系统不但可以有效地保障业务数据的完整性和不可抵赖性,同时还能大大降低应用系统中实现电子签名的复杂度,因此签名验签系统可以被广泛应用在电子政务、电子商务、电子金融等各个行业中。
2产品概述
2.1产品简介
ESVS签名验签服务器是一款支持多种算法的商用密码应用设备,该设备主要应用在采用PKI安全体系的电子商务、电子政务系统和企业信息化中,为各类系统提供数据签名和验签、基于数字证书的身份认证、基于数字证书的加密和解密等安全保护。
2.2组成框图
签名验签服务器及应用系统组成框图如下:
各部分详细描述如下:
一、ESVS服务器(签名验签服务器)
ESVS服务器为一台为不同的应用系统同时提供签名验签服务的硬件服务器设备。
它提供Web管理界面实现对自身的管理和审计。
ESVS服务器通过请求OCSP服务器实时验证证书状态,或者自动下载CRL文件进行证书状态验证。
ESVS服务器可以与TSA服务器结合实现带时间戳的数字签名。
从服务功能上划分,ESVS服务器可分为四个大模块:
1)配置与管理模块
由ESVS管理员使用,配置ESVS服务器参数和数据同步,并对相关帐户、权限、日志及服务进行管理。
2)ESVS主服务模块
初始化必要的共享资源,比如共享内存,日志服务等。
3)签名验签模块
接收来自应用服务器的签名验签请求,并将签名验签结果返回给应用服务器。
4)CRL下载模块
定期自动下载CRL,并更新到配置数据库中。
二、ESVS应用API
ESVS应用API为应用系统提供签名验签服务的调用接口,它通过将签名验签请求发送给ESVS服务器的方式实现对文件、表单数据的签名验签。
三、ESVS客户端套件
ESVS签名控件为一个ActiveX控件,为客户提供了基于浏览器的签名验签操作,同时,它也可以验证来自ESVS服务器的签名。
签名控件也可以支持数据压缩功能。
3产品部署
在产品的实际使用中,ESVS签名验签服务器与业务系统并行部署,可以采用内部CA系统所签发的证书,也支持第三方CA系统证书,产品部署示意图如下:
4产品功能
产品功能主要包括了系统的配置管理和对外服务两部分内容。
4.1配置与管理
4.1.1用户管理
系统用户分为超级管理员、配置管理员、业务管理员、审计管理员。
其中配置管理员、业务管理员和审计管理员由超级管理员创建和管理。
配置管理员主要完成配置管理模块的功能配置,业务管理员主要是对应用服务的管理,审计管理员主要是对系统和应用的日志查询和审核。
管理员通过用户名、密码和证书联合认证成功才能登陆系统进行操作,证书存放在usbkey中保存。
系统必须在插入操作员管理KEY才能进入系统。
4.1.2配置管理
配置管理模块必须由配置管理员登陆才能进行操作,配置管理包括服务器证书配置、CA证书配置、CRL配置、应用信息设置、事件管理、配置信息导入导出等功能。
服务器证书配置
签名服务器可以设置多张签名证书,针对不同的应用可以配置使用相同或不同的签名证书。
签名证书对应的私钥保存在服务器的加密卡上,通过keyid关联公钥、私钥以及对应的证书。
服务器证书配置包括生成P10证书请求、导入服务器证书、导出服务器证书、查看服务器证书及删除服务器证书。
CA证书配置
CA证书配置用来配置签名服务器的受信任CA证书(多张CA证书可能形成证书链),受信任CA证书是指签名服务器所能接受的CA证书,他表明了签名服务器对那些CA域是信任的,只有被签名服务器所信任的CA签发的客户证书,才能通过签名服务器的验签,签名服务器可以配置使用多条证书链,即使用签名服务器的应用系统可以同时使用多个CA签发的客户证书。
CA证书配置支持对证书的查看、CA证书的导入导出、CA的CRL和OCSP站点的配置。
CRL配置
CRL信息的获取可以采用自动下载和手工导入两种方式,签名服务器同时支持这两种方式。
如果在CA证书设置中配置好CRL发布点,签名服务器可以自动下载CRL信息并将其导入数据库中;
此外,管理员也可以通过CRL设置人工导入CRL信息。
支持手工导入证书吊销列表、查看被吊销的证书信息、删除导入的被吊销证书。
应用配置
“应用“是指使用签名服务器签名验签功能的应用系统,签名服务器支持多个应用系统同时调用签名验签服务,这些应用系统可以通过不同的服务端口来区分,它们可以使用相同或不同的服务器签名证书。
应用与服务端口、签名证书、时间戳服务以及受信任的证书链这几者的关系总结如下:
对应关系
一对一
一对多
多对一
多对多
应用—服务端口
√
应用—签名证书
应用—时间戳服务
应用—受信任的证书链
备注:
一个应用可以配置一个默认的签名证书,但是应用系统可以在API中指定签名的证书。
与应用系统相关的参数包括:
1)应用名称:
标识一个应用。
2)应用服务器的IP地址:
可用于鉴别应用。
3)为应用提供签名验签服务的签名服务器IP/PORT:
签名验签服务端口。
4)应用客户证书的状态检查方式:
包括不检查,检查CRL,检查OCSP。
当选择CRL检查时,服务器会从导入的CRL里查找证书是否已经被吊销;
当检查OCSP时,服务器会通过配置的OCSP站点信息连接到站点,通过站点查找证书是否已被吊销。
5)签名服务器与应用服务器之间的安全模式:
包括鉴别模式,通讯保密模式等。
6)应用使用的默认签名证书:
可以通过API指定签名的证书,如果在API中没有指定签名证书,那么会使用默认签名证书。
7)应用使用的时间戳服务器信息:
如果在API中指定使用时间戳,那么会向这里配置的时间戳服务器发起时间戳请求。
应用设置包括增加、删除、修改应用相关的配置信息。
事件与日志配置
对日志记录方式,日志产生事件进行设置,包括:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ESVS 签名 服务器 技术 白皮书 V11